カリフォルニア州消費者プライバシー法（California Consumer Privacy Act, 以下CCPA）は、米国カリフォルニア州において、居住者のプライバシーおよび個人情報を保護するために制定された法律です。2020年1月1日に施行され、その後、2023年に施行された改正法であるカリフォルニア州プライバシー権法（CPRA）によって大幅に強化されました。

この法は、世界的に有名な欧州のGDPR（EU一般データ保護規則）に匹敵する厳格なルールを定めており、特にデジタル経済の中心地であるCaliforniaにおいて、消費者が自らのデータを制御する権利を確立した画期的な規制です。2024年、2025年、そして2026年現在にかけて、サイバーセキュリティ監査の義務化やAI（人工知能）による自動意思決定（ADMT）への制限など、さらに詳細な規則が追加されています。

1-2 CCPAが注目される理由

CCPAが注目される最大の理由は、その影響力の大きさにあります。カリフォルニア州は世界第5位の経済規模を誇り、AppleやGoogleといった名だたるIT企業の本拠地です。この地で活動する、あるいはこの地の居住者の情報を扱う事業者にとって、CCPAへの準拠はビジネス継続のための必須条件となっています。

また、CCPAは米国内の他州におけるプライバシー法整備のモデルケースとなっており、全米レベルでのデータガバナンスの基準を押し上げる役割を果たしています。日本企業であっても、ウェブサイトを通じてカリフォルニア州の居住者（本人）のデータを収集し、処理・提供を行っている場合、たとえ日本国内で事業を行っていても、この規制の対象となる可能性があります。

2 CCPAの適用対象と定義

2-1 個人情報の定義

CCPAにおける「個人情報」の定義は、日本の法制度よりもはるかに広範です。「特定の個人、または世帯を、直接的、あるいは間接的に識別し、関連し、記述し、関連付けることが合理的に可能な情報」とされています。具体的には、以下の項目が含まれます。

・ デジタル識別子：IPアドレス、クッキー（Cookie）ID、デバイス識別子。・ バイオメトリクス情報：指紋、顔認証データ、神経データ（Neural Data）。・ 位置情報：端末のGPSデータ等。・ 閲覧履歴：ウェブサイト内での行動履歴や検索キーワード。・ 推論データ：消費者の嗜好や特性を分析・評価して生成されたプロファイル。

2026年の最新規則では、16歳未満の未成年者の情報は自動的に「機微（Sensitive）な個人情報」として扱われ、さらに高度なセキュリティと保護が要求されます。

2-2 適用対象となる事業者の条件

以下のいずれかの条件に該当する、カリフォルニア州で事業を行う営利組織が対象となります。

年間総収入：前暦年における年間総収入が2,500万ドルを超えること。
データ処理数：年間合計で10万以上の消費者または世帯の個人情報を、購入、販売、または共有していること。
収益構造：年間総収入の50%以上を、消費者の個人情報の販売または共有から得ていること。

物理的な拠点がない会社であっても、同州の消費者のデータを取得して利用していれば適用されます。現在は従業員データの適用除外も撤廃されているため、人事部門を含めた全社的な対応が必要です。

3 CCPAが消費者に与える権利

3-1 情報へのアクセス権（知る権利）

消費者は、事業者がどのような個人情報を収集し、どのような目的で利用・開示・販売・共有しているかを開示するよう要求できます。事業者は原則として45日以内に回答しなければなりません。2026年からは、過去12ヶ月間だけでなく、それ以前のデータについても合理的な範囲で対応が求められるケースがあります。

3-2 データ削除権とオプトアウト権

・ 削除権：収集された自分の個人情報を削除するよう求める権利。・ オプトアウト権：個人情報が第三者に「販売（Sale）」または「共有（Sharing）」されることを拒否する権利。・ 機微情報の利用制限：CPRAにより追加。自分の「機微な個人情報」の利用を限定的な目的に絞るよう求める権利。

ウェブサイトには「Do Not Sell or Share My Personal Information」というリンクを分かりやすく設置する義務があります。

4 CCPAにおける事業者の義務

4-1 プライバシーポリシーの策定

ポリシーには以下の事項を記載しなければなりません。・収集する個人情報のカテゴリおよび目的。・保存期間、または期間を決定するための基準。・消費者の各権利（アクセス、削除、訂正、オプトアウト等）の行使方法。・過去12ヶ月間に販売・共有された情報のカテゴリ。

4-2 消費者リクエストへの対応

フリーダイヤルやウェブフォームなど、少なくとも2つの窓口を設ける必要があります。また、権利を行使した消費者に対してサービスの質を落としたり価格を上げたりする「差別的行為」は固く禁じられています。

5 CCPAとGDPRの比較

5-1 基本的な違い

・ アプローチ：GDPRは「オプトイン（原則禁止、同意が必要）」、CCPAは「オプトアウト（原則自由、拒否権を保障）」。・対象：GDPRは全組織（非営利含む）、CCPAは一定規模以上の営利事業者。・定義：CCPAは「世帯（Household）」単位のデータも含む。

5-2 消費者の権利の違い

GDPRは事前同意を重視しますが、CCPAは事後拒否を重視します。ただし、未成年者のデータ処理については、CCPAもオプトイン方式を採用するなど、両者は年々接近しています。

6 CCPA施行後の影響と今後の展望

6-1 企業への影響

違反時は民事制裁金（1件あたり2,500ドル〜7,500ドル）に加え、集団訴訟のリスクもあります。数万人規模の漏えい事故となれば、総額は数億ドルに達する可能性があります。

6-2 今後の法改正の可能性

2026年からは、AIを用いたリスキーなデータ処理に関する「リスク評価報告書」の提出や、高度なサイバーセキュリティ監査が順次義務化されます。独立当局であるカリフォルニア州プライバシー保護庁（CPPA）により、監視はより活発化しています。

7 CCPAに対する企業の対応策

7-1 コンプライアンス戦略の策定

・ データマッピング：誰の、どのカテゴリの情報を収集しているかの調査。・ 提供状況の把握：広告パートナーや解析ツールベンダーとの共有状況の確認。・ 適正な通知：法律に基づいたプライバシーポリシーの更新。

7-2 データ管理のベストプラクティス

・ プライバシー・バイ・デザイン：開発段階から保護機能を組み込む。・ GPCへの対応：ブラウザの「Global Privacy Control」信号に基づき、自動で販売・共有を停止する技術の実装。

8 カリフォルニア州のプライバシー法の未来

8-1 新たなプライバシー法の動向

バージニア州やテキサス州など、他州でも独自の法制定が続いています。全米共通の連邦法が成立するまでは、最も厳しいカリフォルニア州の基準に合わせることが安全な戦略となります。

8-2 国際的な影響と連携

米国の規制は、日本の個人情報保護法やデジタル庁が推進するDFFT（信頼性のある自由なデータ流通）の議論にも影響を与えています。

9 2026年の注目トピック：AIと自動意思決定への対応

2026年に入り、CCPAは「自動意思決定技術（ADMT）」への規制を具体化しました。消費者は、AIによるプロファイリング（就職、与信、保険等の判断）について事前に通知を受け、それを拒否する権利を持ちます。日本企業のAI搭載製品においても、アルゴリズムの透明性確保と説明責任が生じています。

10 まとめ：信頼されるデジタル社会の構築へ

CCPAは単なる法的規制ではなく、消費者との間に「信頼」を再構築するためのフレームワークです。2026年の改正要件を含め、最新情報を常に取得し、適切なセキュリティ体制を維持することが、日本企業がグローバル市場で勝ち残るための唯一の道です。

【関連情報】

・デジタル庁：トラスト

https://www.digital.go.jp/policies/trust

・デジタル庁：DFFT（Data Free Flow with Trust：信頼性のある自由なデータ流通）

https://www.digital.go.jp/policies/dfft

・総務省：トラストサービス

https://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/law-index.html

・デジタル証明研究会：年次レポート 2024(論点整理と提言)

https://digitalproof.jp/wp-content/uploads/2025/05/eb343437c3b0ee5a36c7239725a937e5.pdf

・デジタルアーキテクチャ・デザインセンター(DADC)：トラスト入門

https://www.ipa.go.jp/digital/architecture/Individual-link/nl10bi00000038ai-att/trust-basics.pdf

・総務省：電子署名・認証・タイムスタンプ　その役割と活用

https://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/pdf/090611_1.pdf

URL Copied!